Správa indikátorů
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
V navigačním podokně vyberteIndikátory koncových bodů>nastavení>(v části Pravidla).
Vyberte kartu typu entity, kterou chcete spravovat.
Aktualizujte podrobnosti indikátoru a vyberte Uložit nebo vyberte tlačítko Odstranit , pokud chcete entitu ze seznamu odebrat.
Import seznamu ioC
Můžete také nahrát soubor CSV, který definuje atributy indikátorů, akci, která se má provést, a další podrobnosti.
Stáhněte si ukázkový soubor CSV a seznamte se s podporovanými atributy sloupců.
V navigačním podokně vyberteIndikátory koncových bodů>nastavení>(v části Pravidla).
Vyberte kartu typu entity, pro který chcete importovat indikátory.
Vyberte Importovat>Zvolit soubor.
Vyberte Importovat. Tento postup opakujte pro všechny soubory, které chcete importovat.
Vyberte Hotovo.
Poznámka
Pro každou dávku je možné nahrát pouze 500 indikátorů. Pokus o import indikátorů s konkrétními kategoriemi vyžaduje, aby byl řetězec napsán v konvenci případů Pascalu a přijímá pouze seznam kategorií, který je k dispozici na portálu.
Následující tabulka uvádí podporované parametry.
| Parametr | Typ | Popis |
|---|---|---|
| typ indikátoru | Výčet | Typ ukazatele Možné hodnoty jsou: FileSha1, FileSha256, IpAddress, DomainNamea Url. Povinný |
| indicatorValue | String | Identita entity indikátoru Povinný |
| akce | Výčet | Akce, která se provede, pokud je indikátor zjištěn v organizaci. Možné hodnoty jsou: Allowed, Audit, BlockAndRemediate, Warna Block. Povinný |
| titul | String | Název upozornění indikátoru. Povinný |
| description | String | Popis ukazatele Povinný |
| expirationTime | DateTimeOffset | Doba vypršení platnosti indikátoru v následujícím formátu YYYY-MM-DDTHH:MM:SS.0Z. Indikátor se odstraní, pokud uplyne doba vypršení platnosti a cokoli se stane v době vypršení platnosti, dojde k hodnotě sekund (SS). Nepovinný |
| závažnost | Výčet | Závažnost ukazatele. Možné hodnoty jsou: Informational, Low, Mediuma High. Nepovinný |
| recommendedActions | String | Doporučené akce pro upozornění indikátoru TI. Nepovinný |
| rbacGroups | String | Seznam skupin RBAC oddělených čárkami, pro které by se ukazatel použil. Nepovinný |
| kategorie | String | Kategorie výstrahy. Mezi příklady patří: Spuštění a přístup k přihlašovacím údajům. Nepovinný |
| mitretechniques | String | Kód/id technik MITRE (oddělené čárkami). Další informace najdete v tématu Taktika enterprise. Nepovinný Při technice MITRE se doporučuje přidat hodnotu do kategorie. |
| GenerateAlert | String | Jestli se má výstraha vygenerovat. Možné hodnoty jsou: True nebo False. Nepovinný |
Poznámka
Zápis CIDR (Classless Inter-Domain Routing) pro IP adresy se nepodporuje. Další informace najdete v tématu Microsoft Defender for Endpoint kategorie upozornění jsou teď v souladu s MITRE ATT&CK!.
Síťové indikátory nepodporují typ BlockAndRemediateakce . Pokud je indikátor sítě nastavený na BlockAndRemediate, nebude importovat.
V tomto videu se dozvíte, jak Microsoft Defender for Endpoint nabízí několik způsobů, jak přidat a spravovat indikátory ohrožení (IoC).
Viz také
- Vytváření indikátorů
- Vytváření indikátorů pro soubory
- Vytváření indikátorů pro IP adresy a adresy URL / domény
- Vytvoření indikátorů založených na certifikátech
- Vyloučení pro Microsoft Defender for Endpoint a Microsoft Defender Antivirus
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.